Yahoo奇摩財經 
全球受衝擊 企業5招自保 史上最嚴個資法GDPR上路
史上最嚴格的個資法歐盟「一般資料保護規則」已於5月下旬上路,不僅撼動整個矽谷科技業,改變網路運作生態,其他舉凡能接觸個資的產業,包括觀光、銀行、保險、電商等行業都將受到衝擊。若你的公司尚未準備好,專家教你5招自保。
【文/胡林 圖片提供/達志影像】
消費者長久以來一直納悶不已:為何Google、臉書對他們瞭若指掌?還有誰取得他們的個資?為何要給我這則廣告?但網路巨人甚少直接給予答案。
從2018年5月25日起,權力平衡開始倒向消費者。歐盟實施的「一般資料保護規則」(General Data Protection Regulation, GDPR)要確保使用者知道、了解及同意有關其資料的蒐集、處理與使用。網路上有關隱私權的小字體說明已不足以滿足GDPR的規定,業者也不能強迫使用者點擊「同意」才能登錄。
不只保護歐盟地域
這部法律保護的是歐盟境內28國居民的個資,即使其資料是在其他地方處理,這也意味著感受到衝擊的不只是歐洲,還包括全世界,原因在於GDPR的規定將影響所有接觸歐洲公民個資的公司,因此GDPR規範的對象將包括:線上發行業者、銀行、保險,旅遊、軟體、電子商務、在網路與應用程式追蹤你的廣告科技業者,以及矽谷的科技巨人。觸角遍及全球的飯店、旅館及旅遊業,都需嚴格遵守GDPR規則,尤其是若這些公司直接向歐盟境內的公民行銷時。這些業者因為定期蒐集個人的身份資訊,並使用這些資料與消費者互動,使它們成為GDPR初期衝擊的主要目標。
社群網站首當其衝
社群網站與分享經濟業者也將首當其衝,歐盟執委會舉例說,社群網站須遵守規定,應用戶的要求刪除用戶張貼的照片,並且通知使用這些照片的搜尋引擎及其他網站應該移除這些畫面。執委會並表示,汽車分享服務可以要求使用者的姓名、住址、信用卡號碼,以及是否是身障人士等資訊,但不能要求用戶分享其種族等資訊(GDPR對於蒐集種族、宗教及政治派別與性別取向等「敏感資料」有更嚴格的規定)。
科技業受GDPR的影響非常大,首屈一指的資料公司須重新思考及重新架許多政策及程序,以遵守相關規定。GDPR已促成了資料蒐集、處理方式的改變。Google公司6月宣佈,將停止在Gmail的電子郵件採礦以製作個人化的廣告(但該公司說這與GDPR無關,而是為了協調Gmail的消費者與商用版本)。Google也翻新了隱私權頁面,以更加友善用戶,為2009年推出以來首見。
微軟在一項聲明中點出科技業可能遭受的衝擊:「儘管這項規定應用於各行各業,但實際負擔主要落在科技業身上,部分原因是線上公司握有的大量資訊,另一個原因是數位轉型趨勢使每家公司都更加依賴雲端服務,對提供這些服務的微軟與其他科技公司而言,遵守GDPR的新規定所做的架構與工程改變,不僅對我們很重要,對使用我們服務來儲存或處理客戶資訊的所有客戶也至為重要。」
對科技業者而言,「同意」將是GDPR的最大挑戰之一,並將對分享資料的業者以及在資料中心為其他公司管理資訊的雲端供應商,帶來諸多問題。GDPR為同意設定一個高標準,將它定義為「提供個人真正的選擇與控制」,公司所承擔的同意責任,不僅是需要個人的許可,還要保留相關紀錄。近來企業界流行的話題是,誰會是第1家因違規而被罰的公司?在更多國家制定類似GDPR的法律之前,安全負擔仍落在企業身上。儘管像微軟、Google、臉書及亞馬遜等科技巨人的遵循GDPR的作業將非常龐大,但他們既有意志也有資源去履行。比較令人擔心的反而是GDPR對小企業與新創公司的衝擊,因為無法承受新法規所帶來的負擔。
例如:美國國會在1998年通過「兒童線上隱私保護法案(Children’s Online Privacy Protection Act, COPPA)」,目的是要保護13歲以下兒童的隱私權,在未經父母許可不允許企業蒐集其個資。像迪士尼(Disney)等大型兒童節目公司砸錢投資一些機制以遵循該法律;許多小公司無法負擔取得同意的昂貴流程,包括一些因為該規定而從未推出產品的新創公司。即使像臉書、Google等大企業選擇將其服務限制在13歲以上,直到不久前Google才推出其兒童版「YouTube Kids」,以及讓父母能有效控制孩子使用時間與方式的「家庭連結」(Family Link),臉書也為少年推出「Messenger Kids」,這2家公司如此大費周章,都是為了確保遵循COPPA。GDPR能否保護客戶,只能由時間來證明,但其對產業行為的衝擊已開始發酵。大多數大型及上市公司已採取必要步驟遵循GDPR,但小型企業仍有許多工作待做。根據一項新近調查,3分之2在歐洲做生意的美國企業,直到今年還不知道未遵循GDPR的罰則。
5大招做好準備
假如你的公司還未對GDPR做好準備,不妨根據參與服務與科技解決方案全球領導品牌Fan ThreeSixty公司解決方案長維托萊恩(Sasha Victorine)的下列5項提示來準備:
聽取可靠的法律建議:與律師交談以了解公司的業務是否需要遵守GDPR。最初的投資可能較多,但法律建議與行動計畫讓你省下的GDPR罰款,將非常值得。
評估時間表:確認公司須遵守的步調,假如需要馬上處理這項問題,把這項工作分成幾個區塊,按照優先順序加以解決。假如歐洲是未來重要的市場,務必將遵循擺在機會前面,以免遭罰。
3.將溝通標準化:更新公司的服務條款與隱私權政策,以反映資料蒐集與運用政策。即便你還未遵守,清楚的溝通可能減緩監管機構的打擊,並能與客戶建立信任關係。
4.加強個人簡介管理能力:即便你只能啟動這個選項,仍可為用戶開啟要求移除個資的大門。之後你公司可在未來的遵循調整期間解決移除的問題。
5.申請認證:歐盟─美國隱私保護盾及瑞士─美國隱私保護盾的自我認證。若要更進一步,就是取得ISO 27001(資訊安全管理)及27018(雲端資料保護)認證,及你的SOC 2及SOC 3證書。
GDPR的整體影響可能需數年時間才會體現,但及早專注於遵循的公司,將比競爭對手更具優勢。
【完整內容請見《<能力雜誌》2018年8月號,非經同意不得轉載、刊登】
